-
SAST
¶ - Static Application Security Testing — analyse du code source (ou bytecode compilé) sans exécution, pour trouver des vulnérabilités. Opposé du DAST. StaticCodeAudit est un outil SAST.
-
DAST
¶ - Dynamic Application Security Testing — analyse d'une application en cours d'exécution depuis l'extérieur (requêtes HTTP, parcours de login). Complémentaire au SAST. Ne peut pas trouver d'issues dans des chemins de code non atteignables.
-
IAST
¶ - Interactive Application Security Testing — combine SAST et DAST en instrumentant l'application au runtime. Nécessite un agent dans le processus de l'app, ce qui limite l'usage hors-ligne.
-
CWE
¶ - Common Weakness Enumeration — liste développée par la communauté des faiblesses logicielles (ex. CWE-89 « Injection SQL ») maintenue par MITRE. Chaque règle StaticCodeAudit est taguée avec au moins un identifiant CWE.
-
CVE
¶ - Common Vulnerabilities and Exposures — identifiant unique d'une vulnérabilité divulguée publiquement (ex. CVE-2021-44228 = log4shell). Sert à suivre quelle version d'une bibliothèque est affectée.
-
OWASP Top 10
¶ - Liste OWASP régulièrement mise à jour des 10 risques de sécurité web les plus critiques (dernière mise à jour : 2021). Inclut A01 Broken Access Control, A03 Injection, A07 Identification & Authentication Failures, etc.
-
OWASP ASVS
¶ - Application Security Verification Standard — checklist OWASP de 280+ exigences de vérification regroupées en 14 chapitres. Niveaux 1 (de base) / 2 (standard) / 3 (avancé). Version actuelle : 5.0.0.
-
ISO/IEC 27001
¶ - Standard international pour les systèmes de management de la sécurité de l'information. L'Annexe A liste 93 contrôles (révision 2022). La certification prouve qu'une organisation a implémenté et opère un ISMS.
-
NIST CSF 2.0
¶ - NIST Cybersecurity Framework, version 2.0 (2024). Cinq fonctions : Identify, Protect, Detect, Respond, Recover. Largement adopté par les agences fédérales US et les opérateurs d'infrastructures critiques.
-
SARIF
¶ - Static Analysis Results Interchange Format — format JSON standard OASIS (v2.1.0) pour les sorties SAST agnostiques. Ingéré par GitHub Code Scanning, GitLab Security Dashboard, ServiceNow, RSA Archer, etc.
-
SBOM
¶ - Software Bill of Materials — inventaire lisible par machine de chaque composant (bibliothèque, version, licence) dans un logiciel. Requis par l'Executive Order 14028 US et la directive NIS2 UE pour les attestations de chaîne d'approvisionnement logicielle. Formats courants : CycloneDX, SPDX.
-
Taint analysis
¶ - Suivi de la façon dont une entrée utilisateur non fiable (« source ») circule dans le code jusqu'à atteindre une fonction dangereuse (« sink ») sans passer par un sanitizer. La technique derrière la détection des injections SQL, XSS, SSRF, command injection.
-
CSP
¶ - Content Security Policy — en-tête HTTP de réponse qui indique au navigateur quelles sources de script, style, image, etc. sont autorisées. Atténue les XSS en bloquant les scripts inline et les CDNs non autorisés.
-
XSS
¶ - Cross-Site Scripting — vulnérabilité où une entrée contrôlée par l'attaquant est réfléchie dans le HTML sans échappement, permettant à l'attaquant d'exécuter du JavaScript dans le navigateur de la victime. Variantes : stored, reflected, DOM-based.
-
SQL Injection
¶ - Vulnérabilité où une entrée utilisateur est concaténée dans une requête SQL sans paramètre lié, permettant à l'attaquant d'altérer la logique de la requête (lire d'autres lignes, supprimer des tables, exfiltrer des données). CWE-89.
-
SSRF
¶ - Server-Side Request Forgery — vulnérabilité où l'attaquant pousse un serveur à effectuer des requêtes HTTP vers des services internes (endpoints metadata cloud, RDS, microservices internes) que l'attaquant ne peut pas atteindre directement. CWE-918.
-
XXE
¶ - XML External Entity — vulnérabilité des parseurs XML qui résolvent des entités externes (références DTD). Permet à l'attaquant de lire des fichiers locaux, faire du SSRF, ou déclencher un déni de service (billion laughs). CWE-611.
-
CSRF
¶ - Cross-Site Request Forgery — attaque où une victime authentifiée est trompée pour soumettre une requête choisie par l'attaquant, abusant du cookie de session de la victime. Atténuée par les tokens anti-CSRF ou cookies SameSite. CWE-352.
-
Prototype Pollution
¶ - Vulnérabilité spécifique à JavaScript où l'attaquant peut polluer
Object.prototypevia des clés forgées (__proto__,constructor). Affecte tous les objets en aval. CWE-1321. -
Insecure Deserialization
¶ - Désérialiser des bytes contrôlés par l'attaquant (pickle, Java ObjectInputStream, PHP unserialize, .NET BinaryFormatter) mène à l'exécution de code arbitraire via des chaînes de gadgets. CWE-502.
-
Air-gapped
¶ - Un environnement informatique physiquement et logiquement isolé des réseaux externes (pas d'internet, pas de DNS, pas de support amovible). Requis pour les environnements à données classifiées (SCIF, zone restreinte) et de nombreux déploiements défense / infrastructures critiques.
-
NIS2
¶ - Directive UE 2022/2555 sur la cybersécurité pour les entités « essentielles » et « importantes » (énergie, banques, santé, infra numérique, etc.). L'article 21 impose des mesures de gestion des risques incluant la sécurité de la chaîne d'approvisionnement et la preuve SBOM.
-
SOC 2
¶ - Service Organisation Control 2 — framework d'audit AICPA pour les prestataires de services, couvrant 5 « critères de service de confiance » (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée). Les audits Type II couvrent une période (typiquement 6-12 mois).
-
HIPAA
¶ - US Health Insurance Portability and Accountability Act. La Security Rule (45 CFR §164.302–318) exige des garde-fous techniques sur les informations de santé protégées électroniques (ePHI), y compris contrôles d'accès, journaux d'audit, et vérification d'intégrité.
-
PCI-DSS
¶ - Payment Card Industry Data Security Standard. Requis par Visa/MC/Amex pour tout marchand ou processeur traitant des données de carte de paiement. La version 4.0 (2024) §6.2 exige des pratiques de développement sécurisées y compris la revue de code.
Authoritative sources
Every definition in this glossary is derived from a publicly maintained specification. Verify directly:
- • CWE — cwe.mitre.org (MITRE, maintained list)
- • CVE — cve.org (MITRE / CVE Program)
- • OWASP Top 10 (2021) — owasp.org/Top10
- • OWASP ASVS v5 — owasp.org/ASVS
- • ISO/IEC 27001:2022 — iso.org/standard/27001
- • NIST CSF 2.0 — nist.gov/cyberframework
- • SARIF v2.1.0 — OASIS specification
- • SBOM (CycloneDX) — cyclonedx.org (OWASP project)
- • SBOM (SPDX) — spdx.dev (Linux Foundation)
- • WCAG 2.1 — w3.org/TR/WCAG21
- • NIS2 (EU 2022/2555) — EUR-Lex full text
- • SOC 2 (AICPA) — aicpa-cima.com
- • HIPAA Security Rule — hhs.gov/hipaa
- • PCI-DSS v4.0 — pcisecuritystandards.org